Одит на бисквитките в WordPress: Как темите и добавките запълват сайта ви с тракери

Скритият проблем с бисквитките в WordPress

Повечето собственици на WordPress сайтове не осъзнават колко бисквитки поставя техният сайт. Нова инсталация на WordPress с популярна тема и няколко често срещани добавки може лесно да постави 15 до 30 бисквитки в различни домейни, много от тях преди посетителят да има възможност да даде съгласие. Това не е резултат от преднамерено проследяване — то е кумулативният ефект от теми и добавки, които зареждат външни ресурси, идващи със собствени бисквитки.

Разбирането откъде идват тези бисквитки, какво правят и как да ги контролирате е от съществено значение за всеки WordPress сайт, който трябва да спазва GDPR, ePrivacy или подобни разпоредби. Това ръководство ви води стъпка по стъпка през процеса на одит.

Защо WordPress сайтовете натрупват толкова много бисквитки

Архитектурата на добавките в WordPress е едновременно най-голямата му сила и най-голямата му отговорност по отношение на поверителността. Всяка добавка работи полунезависимо и повечето разработчици на добавки се фокусират върху функционалността, а не върху съответствието с бисквитките. Ето основните източници на бисквитки в типичен WordPress сайт:

Теми и Google Fonts

Много WordPress теми зареждат Google Fonts директно от fonts.googleapis.com. Когато браузърът на посетителя поиска тези шрифтове, Google може да постави бисквитки и да събере IP адреса на посетителя, информация за браузъра и препращащата страница. През 2022 г. германски съд постанови, че зареждането на Google Fonts от сървърите на Google без съгласие нарушава GDPR, което доведе до глоба от 100 EUR за всеки засегнат посетител. Решението е да хоствате шрифтовете локално, но повечето настройки по подразбиране на темите все още сочат към сървърите на Google.

Конструктори на страници и анализи

Elementor, най-популярният конструктор на страници за WordPress, зарежда външни ресурси, включително шрифтове, и може да поставя бисквитки за проследяване на употребата. Някои уиджети на Elementor вграждат съдържание на трети страни (YouTube видеа, Google Maps), които поставят свои собствени бисквитки. Дори безплатната версия на Elementor може да изпраща анонимизирани данни за употреба, освен ако не е изрично деактивирана в настройките.

SEO добавки

Yoast SEO и Rank Math сами по себе си поставят малко бисквитки, но често се интегрират с Google Search Console и насърчават добавянето на кодове за проследяване на Google Analytics. Скриптовете за анализи, които ви помагат да внедрите, са основен източник на бисквитки. Премиум версията на Yoast също комуникира със сървърите на Yoast за SEO анализ, което може да включва бисквитки.

Jetpack и услугите на WordPress.com

Jetpack е един от най-продуктивните поставящи бисквитки в екосистемата на WordPress. В зависимост от активните модули, Jetpack може да постави бисквитки за:

• Статистики на сайта (статистики на WordPress.com)
• Бутони за социално споделяне (зареждане на скриптове от Facebook, Twitter, LinkedIn)
• Система за коментари (бисквитки на Gravatar)
• Функции за сигурност (бисквитки на модула Protect)
• Използване на CDN (бисквитки на CDN на WordPress.com)

Една инсталация на Jetpack с настройки по подразбиране може да бъде отговорна за 8 до 12 бисквитки от различни домейни.

WooCommerce и електронна търговия

WooCommerce поставя няколко бисквитки, които се считат за строго необходими за функционалността на електронната търговия:

• woocommerce_cart_hash: Помага на WooCommerce да знае кога съдържанието на кошницата се променя.
• woocommerce_items_in_cart: Проследява дали има артикули в кошницата.
• wp_woocommerce_session_*: Съдържа уникален код за сесията на всеки клиент.

Докато тези обикновено са освободени от изискванията за съгласие като строго необходими бисквитки, разширенията на WooCommerce за обработка на плащания, възстановяване на изоставени кошници и маркетингова автоматизация добавят още много бисквитки, които изискват съгласие.

Контактни форми и reCAPTCHA

Добавки за контактни форми като Contact Form 7, WPForms и Gravity Forms често използват Google reCAPTCHA за защита от спам. reCAPTCHA v2 и v3 поставят множество бисквитки, включително _GRECAPTCHA, и зареждат скриптове от google.com, които могат да поставят допълнителни бисквитки за проследяване. Това означава, че дори проста страница за контакт може да задейства бисквитки, свързани с рекламата.

Кеширащи добавки

Кеширащи добавки като WP Super Cache, W3 Total Cache и WP Rocket поставят свои собствени бисквитки за управление на поведението на кеша. Това обикновено са функционални бисквитки (например за заобикаляне на кеша за влезли потребители), но все пак трябва да бъдат документирани в политиката ви за бисквитки.

Как да одитирате бисквитките на вашия WordPress сайт

Задълбоченият одит на бисквитки включва сканиране на сайта ви от гледната точка на посетителя. Ето процеса:

Стъпка 1: Използвайте инструментите за разработчици на браузъра

Отворете сайта си в Chrome, отидете на DevTools > Application > Cookies и проверете всички бисквитки, поставени за вашия домейн и домейните на трети страни. Направете това в инкогнито прозорец, за да симулирате посетител за първи път. Отбележете името, домейна, изтичането и дали е от първа или трета страна за всяка бисквитка.

Стъпка 2: Използвайте специализиран скенер за бисквитки

Ръчната проверка улавя бисквитки, поставени при зареждане на страницата, но пропуска тези, поставени при взаимодействия (кликване на бутони, изпращане на форми, скролиране). Специализирани скенери като безплатния скенер на Cookiebot, скенера на CookieYes или разширения за браузъра като EditThisCookie предоставят по-изчерпателни резултати. Стартирайте сканирания на множество страници, не само на началната.

Стъпка 3: Категоризирайте всяка бисквитка

Групирайте откритите бисквитки в стандартни категории:

• Строго необходими: Сесийни бисквитки, автентикация, сигурност, функционалност на кошницата. Те не изискват съгласие.
• Функционални: Езикови предпочитания, персонализация на потребителския интерфейс. Съгласието е технически изисквано, но те са с нисък риск.
• Аналитични: Google Analytics, статистики на WordPress.com, инструменти за топлинни карти. Съгласието е задължително.
• Маркетингови/Рекламни: Google Ads, Facebook Pixel, бисквитки за ремаркетинг. Съгласието е задължително и те са с най-висок приоритет за блокиране.

Стъпка 4: Свържете бисквитките с техните източници

За всяка бисквитка определете коя тема или добавка е отговорна. Тук WordPress става сложен — една страница може да зарежда скриптове от 5 различни добавки, всяка поставяща свои собствени бисквитки. Временно деактивирайте добавките една по една, за да определите коя добавка поставя кои бисквитки.

Често срещани източници на бисквитки и техните решения

Ето бърз справочник за най-често срещаните източници на бисквитки в WordPress и как да ги адресирате:

• Google Fonts: Преминете към локално хоствани шрифтове. Добавки като OMGF или настройките на вашата тема могат да автоматизират това.
• Google Analytics: Трябва да бъде блокиран до получаване на съгласие. Това се управлява от вашата CMP.
• YouTube вграждания: Използвайте домейна youtube-nocookie.com вместо youtube.com. Това предотвратява повечето бисквитки за проследяване.
• Google Maps: Заредете само след съгласие или използвайте статично изображение на карта като заместител.
• Facebook Pixel: Трябва да бъде блокиран до получаване на маркетингово съгласие.
• reCAPTCHA: Обмислете алтернативи като hCaptcha (по-приятелски към поверителността) или техники с капан, които не изискват външни скриптове.

Настройка на добавката FlexyConsent за WordPress за пълно съответствие

След като сте одитирали бисквитките си и разбирате какво трябва да се контролира, внедряването на FlexyConsent в WordPress е лесно.

Добавката FlexyConsent за WordPress се интегрира директно във вашето WordPress административно табло, предоставяйки родно изживяване при конфигурация:

1. Инсталирайте от Каталога на добавки: Потърсете "FlexyConsent" в Добавки > Добавяне на нова, инсталирайте и активирайте. Не е необходимо ръчно качване на файлове.
2. Свържете сайта си: Въведете вашия FlexyConsent идентификатор на сайта в настройките на добавката. Добавката автоматично инжектира скрипта за съгласие на правилната позиция — преди всички други скриптове на трети страни.
3. Конфигурирайте категориите бисквитки: Съпоставете одитираните си бисквитки с категориите за съгласие на FlexyConsent. Добавката предоставя визуален интерфейс за това директно във вашата WordPress администрация.
4. Настройте блокирането на скриптове: FlexyConsent автоматично управлява таговете на Google чрез Consent Mode V2. За други скриптове (Facebook Pixel, персонализирано проследяване), добавката предоставя правила за блокиране на скриптове, които предотвратяват изпълнението до получаване на съответната категория съгласие.
5. Тествайте задълбочено: Използвайте инкогнито прозорец, за да проверите дали несъществените бисквитки са блокирани до получаване на съгласие и дали цялата функционалност работи правилно след съгласие.

Като сертифицирана от Google CMP с поддръжка на IAB TCF 2.3, FlexyConsent автоматично се справя с най-сложните аспекти на съответствието с бисквитките в WordPress. Сигналите на Consent Mode V2 се изпращат до услугите на Google без допълнителна конфигурация на тагове, а геотаргетирането гарантира, че посетителите от различни региони виждат подходящото изживяване за съгласие.

Ключов извод: Гъвкавостта на WordPress идва с цена за поверителността — всяка тема и добавка може да въведе бисквитки, изискващи съгласие. Систематичният одит, последван от правилно внедряване на CMP, е единственият надежден път към съответствие. Не приемайте, че сайтът ви поставя само бисквитките, за които знаете; реалността почти винаги е по-сложна от очакваното.